Jump to content

Hairpin NAT за WEB Server


accidental

Recommended Posts

Здравейте, нужна ми е помощ за следния сценарий:

Устройството е MikroTik  RB2011UiAS-2HnD със скоро ъпдейтната версия v7.1.1. Преди ъпдейта към новата версия всички NAT-ове си работеха, като забележете, че пакетите за MPLS, Routing и IPv6 бяха деактивирани и подозирам, че от там ми идва проблема. Може би преди ъпдейта при деактивирането на Routing пакета, Hairpin NAT-а си работеше без всъщност да създавам правило за него, а просто чрез обикновен NAT.

Имам PC във вътрешната мрежа с IP 192.168.1.2 на което има пуснат web server, който "слуша" на портов диапазон 8000-8077. Рутера е с IP 192.168.1.1 и да предположим, че външното IP е 10.100.200.1

Целта е да се достъпват различните сайтове (в разработка), както външно, така и през вътрешната мрежа чрез въвеждане на външното IP (статично е). Примерно: клиента при въвеждане на https://10.100.200.1:8000 да достъпва сайта, така и аз през вътрешната мрежа да го достъпвам на https://10.100.200.1:8000.

Конфигурацията е със следните правила (при тези настройки преди ъпдейта NAT-а си работеше, но след ъпдейта не):

/ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1

/ip firewall nat add action=dst-nat chain=dstnat comment="WEB Server" dst-address=10.100.200.1 dst-port=8000-8077 protocol=tcp to-addresses=192.168.1.2 to-ports=8000-8077

Към момента с тези настройки през външно IP сайтовете се достъпват, но не и през вътрешното.

Освен външния интерфейс eth1, който е с PPPoE, другите са в bridge и самият bridge е с DHCP Server. Също така имам правила във Firewall, но дори при деактивирането им няма ефект за Hairpin NАТ-a.

Какво съм опитал и без успех:

  • Описаното в официалния help на линка: https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT
  • Маркиране на конекциите с prerouting в Mangle и добавяне на address list за външнното и вътрешните IP-та.
  • Премахване на всички правила във Firewall-а
  • Всички комбинации между изброените по-горе

Благодаря Ви за отделеното време!

Link to comment
Share on other sites

  • Administrator
/ip fi n add src-address=192.168.1.0/24 dst-address=10.100.200.1 protocol=tcp port=8000-8077 action=src-nat to-addresses=192.168.1.1 place-before=0

 

Link to comment
Share on other sites

@JohnTRIVOLTA

Здравей, благодаря за правилото, но и с него не сработва.

Опитах описаните неща и от тук, но без успех. Вероятно ще нулирам настройките и ще пренастройвам всичко наново.

Link to comment
Share on other sites

  • Administrator

Забий в днс записите, днс името отвън да отговаря на ИП вътре.

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • Administrator

Не става с един ред, аз съм го писал и гарантирам работи:

https://itservice-bg.net/mikrotik-hairpin-nat/

Не чети коментара по под поста, просто размени ип адреса, интерфейса и портовете ...

  • Like 1
Link to comment
Share on other sites

Благодаря, @111111 и @samyil, но реших да го пренастроя и нещата се получиха с правилото от тук, а в моят случай именно:

/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.1.2 out-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 place-before=0

Първоначалната настройка я правих с Quick Set и след това си коригирах, това което е според моите нужди. Единствено нямам идея защо при правенето на DHCP Server ми беше създало DHCP->Network с Address: 0.0.0.0/0 и Gateway: 0.0.0.0

Следователно ги коригирах с 192.168.1.0/24 и 192.168.1.1

Също така си създаде автоматично във Firewall, Mangle и Raw правилата за fastattack. Освен тези неща, които споменах, друго различно от предходната ми конфигурация не успях да открия.

Edited by accidental
Link to comment
Share on other sites

  • Administrator

Ммм да , прав e @samyil частично, като просто правилото трябва да е с локалният адрес на сървъра и с уговорката, че правилото, което е за dstnat е глобално за вход !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 1 year later...

chain=srcnat action=masquerade src-address=xxx.xxx.x.0/24 
      dst-address=xxx.xxx.x.0/24 log=no

 

Замести вътрешната мрежа с XXX 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.